- PR -

メールの暗号化について

1
投稿者投稿内容
satoko
常連さん
会議室デビュー日: 2004/11/17
投稿数: 23
投稿日時: 2005-02-02 00:40
お世話になっております。
セキュリティの知識に関しては素人です。
どなたかご教授ください。

あるデータをCGIでメール送信するプログラムを作りました。
しかし、メールのセキュリティはあまりに脆弱ということを最近知りました。
フォームの入力情報を送信する時のSSLのように、メールを暗号化できないものか
と思っています。
メール受信側はOutLookで、セキュリティ設定をする程度で何とかしたいのです。

サイトを見てると、PerlでメールをPGP暗号化できる・・・との情報もあったのですが、
それは受信側のクライアントにインストールしないといけないのですよね。
それはなるべく避けたいと思っています。

もしかすると、見当違いなことを書いているかもしれませんが、
参考サイト、サンプルソースご存知の方、アドバイス等よろしくお願いします。



[ メッセージ編集済み 編集者: satoko 編集日時 2005-02-02 00:41 ]
ぽんす
ぬし
会議室デビュー日: 2003/05/21
投稿数: 1023
投稿日時: 2005-02-02 01:02
自分でやったことはありませんが、Outlook は S/MIME に対応して
いるので、S/MIME で暗号化されたメールを読めるはずです。

鍵の管理が問題かもしれませんが。

[ メッセージ編集済み 編集者: ぽんす 編集日時 2005-02-02 01:06 ]
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2005-02-02 01:02
引用:

サイトを見てると、PerlでメールをPGP暗号化できる・・・との情報もあったのですが、
それは受信側のクライアントにインストールしないといけないのですよね。
それはなるべく避けたいと思っています。

受信側の問題については、PGPじゃなくS/MIMEを使うことで追加ソフトインストールは
回避可能です。

ただ、PGPにしてもS/MIMEにしても、問題は送信側。
PGPの場合は、送信側は自分でPGP鍵を準備してキーサーバに登録すりゃいいだけですが、
最低限それだけはやらなきゃ駄目です。
S/MIMEの場合も、自身の鍵が必要であり、受信側で普通に警告無しで解読可能な鍵は
概して有償です。無償のもありますが、いずれにしても鍵取得のための登録作業が必要。
メール本文じゃなく、通信経路さえ暗号化できりゃいいなら、CGIをHTTPS経由で
利用させればいいだけだけど、その場合もサーバ証明書を取得しないとクライアントに警告が出ます。
# オレオレ証明書を使う手はありますが、お勧めしません。

とりあえず、暗号化の仕組み、S/MIMEとPGPの違い、メールと各フェーズにおける暗号化の使い分けと
そのメリット、デメリットについて、しっかり勉強した方がいいです。
また、そういう需要があるのかも考えるべきでしょう。

あと、メール送信プログラムって、比較的簡単に作れる分、結構いいかげんなセキュリティ的に
脆弱な代物をよく目にします。クロスサイトスクリプティングへの配慮や、
そのCGIを経由したspam対策に対して面倒が見切れるのかも含めて、
しっかり確認した方がいいでしょう。
ほむら
ぬし
会議室デビュー日: 2003/02/28
投稿数: 583
お住まい・勤務地: 東京都
投稿日時: 2005-02-02 09:52
ども、ほむらです。
おふとぴちっくですが。。。
というかむしろすみませんただの愚痴です。
satoko氏の求めていることは違うと思います。
適当に読み流してください^^;
-------
Mattun氏へ
引用:

また、そういう需要があるのかも考えるべきでしょう。

あと、メール送信プログラムって、比較的簡単に作れる分、結構いいかげんなセキュリティ的に
脆弱な代物をよく目にします。クロスサイトスクリプティングへの配慮や、
そのCGIを経由したspam対策に対して面倒が見切れるのかも含めて、
しっかり確認した方がいいでしょう。

最近ちまたに良く聞く漏洩問題とかで現場でもセキュリティという単語を良く聞くようになりました。
でも、いつも思うのです。
何から何を守りたいセキュリティなのかポリシー決めてるか?と。。。

個人的には、ソフトでの対応も大切だけど
もっと物理的な面で効率の良い方法はないかなといつも頭を悩まされてます。
教育と言うところに落ち着くのだけどいかんせん効率が良くない。

っていうかメールそのものとかファイルやらディスクを
暗号化しても閲覧できる状態で放置していたら意味ないよね。
メーラ起動しっぱなしで放置・離席とか、
あげくにメール文書そのものをひらきっぱなしとか。

そういうことで僕はいつも送信に使うのはごくふつうのBASE64です(笑
JIMMY
常連さん
会議室デビュー日: 2004/10/26
投稿数: 32
お住まい・勤務地: 東京
投稿日時: 2005-02-08 19:58
こんにちは。
私自身、暗号処理のコードは書いたことが無い初心者です ^^;

引用:

satokoさんの書き込み (2005-02-02 00:40) より:
フォームの入力情報を送信する時のSSLのように、メールを暗号化できないものか
と思っています。
メール受信側はOutLookで、セキュリティ設定をする程度で何とかしたいのです。

サイトを見てると、PerlでメールをPGP暗号化できる・・・との情報もあったのですが、
それは受信側のクライアントにインストールしないといけないのですよね。
それはなるべく避けたいと思っています。
[ メッセージ編集済み 編集者: satoko 編集日時 2005-02-02 00:41 ]

要は通信経路上のデータが暗号化され、クライアントにソフトの追加インストールなどを必要としない方法があれば良いということですね?
smtpで試したことはありませんが、sshを使ったトンネリングで情報の送信元からメールサーバの間の通信経路を暗号化、クライアントとメールサーバの間の通信経路は必要であればルータでのVPN(対応していればですが)等を使用するのではどうでしょうか?
手間と十分な知識が必要になります。

クライアントへのセットアップが可能であればpgpが一番お手軽かつ、スクリプト言語等を使った自動暗号化が可能ですね。

s/MIMEだと送信側のアプリケーションを作らなければいけない可能性もあります。
(s/MIMEを使った運用は良く知らないのですが、PKI等で証明書を作成し、クライアントにも証明書を組み込む必要があります)

送信元のマシンがUNIXかWindowsかによっても手間が変わってくると思いますが、
・通信経路の暗号化
・メールデータの暗号化
のどちらにするか方針は決めたほうが具体的なアドバイスを得られるかもしれませんね。
1

スキルアップ/キャリアアップ(JOB@IT)